本發(fā)明涉及網(wǎng)絡(luò)通信
技術(shù)領(lǐng)域：
，尤其涉及一種風(fēng)險(xiǎn)量化方法及裝置。
背景技術(shù)：
：在企業(yè)日常運(yùn)維管理中，企業(yè)資產(chǎn)的安全風(fēng)險(xiǎn)情況備受關(guān)注，該安全風(fēng)險(xiǎn)主要涉及資產(chǎn)的安全事件、資產(chǎn)的漏洞、資產(chǎn)的價(jià)值等。為了使管理者和運(yùn)維人員對企業(yè)資產(chǎn)的安全風(fēng)險(xiǎn)情況有所了解，通常將資產(chǎn)的受攻擊事件、資產(chǎn)存在的漏洞等整合到一起進(jìn)行展示，但是，這種風(fēng)險(xiǎn)展示方式得到的風(fēng)險(xiǎn)信息過于零散，無法直觀體現(xiàn)資產(chǎn)的風(fēng)險(xiǎn)情況。技術(shù)實(shí)現(xiàn)要素：本發(fā)明的目的在于提供一種風(fēng)險(xiǎn)量化方法及裝置，用以量化風(fēng)險(xiǎn)，直觀體現(xiàn)資產(chǎn)的風(fēng)險(xiǎn)情況。為實(shí)現(xiàn)上述發(fā)明目的，本發(fā)明提供了如下技術(shù)方案：本發(fā)明提供一種風(fēng)險(xiǎn)量化方法，所述方法包括：接收風(fēng)險(xiǎn)顯示請求，所述風(fēng)險(xiǎn)顯示請求攜帶風(fēng)險(xiǎn)量化類型；當(dāng)所述風(fēng)險(xiǎn)量化類型為單資產(chǎn)風(fēng)險(xiǎn)量化時(shí)，獲取單個(gè)資產(chǎn)的風(fēng)險(xiǎn)權(quán)重信息，所述風(fēng)險(xiǎn)權(quán)重信息包括攻擊權(quán)重值、漏洞權(quán)重值以及價(jià)值權(quán)重值；根據(jù)資產(chǎn)的風(fēng)險(xiǎn)權(quán)重信息得到資產(chǎn)的風(fēng)險(xiǎn)評分；將資產(chǎn)的風(fēng)險(xiǎn)評分映射為資產(chǎn)的風(fēng)險(xiǎn)級別，以用于資產(chǎn)風(fēng)險(xiǎn)顯示。本發(fā)明還提供一種風(fēng)險(xiǎn)量化裝置，所述裝置包括：接收單元，用于接收風(fēng)險(xiǎn)顯示請求，所述風(fēng)險(xiǎn)顯示請求攜帶風(fēng)險(xiǎn)量化類型；獲取單元，用于當(dāng)所述風(fēng)險(xiǎn)量化類型為單資產(chǎn)風(fēng)險(xiǎn)量化時(shí)，獲取單個(gè)資產(chǎn)的風(fēng)險(xiǎn)權(quán)重信息，所述風(fēng)險(xiǎn)權(quán)重信息包括攻擊權(quán)重值、漏洞權(quán)重值以及價(jià)值權(quán)重值；處理單元，用于根據(jù)資產(chǎn)的風(fēng)險(xiǎn)權(quán)重信息得到資產(chǎn)的風(fēng)險(xiǎn)評分；映射單元，用于將資產(chǎn)的風(fēng)險(xiǎn)評分映射為資產(chǎn)的風(fēng)險(xiǎn)級別，以用于資產(chǎn)風(fēng)險(xiǎn)顯示。由以上描述可以看出，本發(fā)明通過獲取資產(chǎn)的攻擊權(quán)重值、漏洞權(quán)重值以及價(jià)值權(quán)重值得到資產(chǎn)的風(fēng)險(xiǎn)評分，再將資產(chǎn)的風(fēng)險(xiǎn)評分映射為資產(chǎn)的風(fēng)險(xiǎn)級別進(jìn)行顯示。通過這種風(fēng)險(xiǎn)量化顯示，可直觀體現(xiàn)資產(chǎn)的風(fēng)險(xiǎn)情況，便于管理者及時(shí)發(fā)現(xiàn)高風(fēng)險(xiǎn)資產(chǎn)并采取應(yīng)對措施。附圖說明圖1是本發(fā)明實(shí)施例示出的一種風(fēng)險(xiǎn)量化方法流程圖；圖2是本發(fā)明實(shí)施例示出的一種設(shè)備的結(jié)構(gòu)示意圖；圖3是本發(fā)明實(shí)施例示出的一種風(fēng)險(xiǎn)量化裝置的結(jié)構(gòu)示意圖。具體實(shí)施方式這里將詳細(xì)地對示例性實(shí)施例進(jìn)行說明，其示例表示在附圖中。下面的描述涉及附圖時(shí)，除非另有表示，不同附圖中的相同數(shù)字表示相同或相似的要素。以下示例性實(shí)施例中所描述的實(shí)施方式并不代表與本發(fā)明相一致的所有實(shí)施方式。相反，它們僅是與如所附權(quán)利要求書中所詳述的、本發(fā)明的一些方面相一致的裝置和方法的例子。在本發(fā)明使用的術(shù)語是僅僅出于描述特定實(shí)施例的目的，而非旨在限制本發(fā)明。在本發(fā)明和所附權(quán)利要求書中所使用的單數(shù)形式的“一種”、“所述”和“該”也旨在包括多數(shù)形式，除非上下文清楚地表示其他含義。還應(yīng)當(dāng)理解，本文中使用的術(shù)語“和/或”是指并包含一個(gè)或多個(gè)相關(guān)聯(lián)的列出項(xiàng)目的任何或所有可能組合。應(yīng)當(dāng)理解，盡管在本發(fā)明可能采用術(shù)語第一、第二、第三等來描述各種信息，但這些信息不應(yīng)限于這些術(shù)語。這些術(shù)語僅用來將同一類型的信息彼此區(qū)分開。例如，在不脫離本發(fā)明范圍的情況下，第一信息也可以被稱為第二信息，類似地，第二信息也可以被稱為第一信息。取決于語境，如在此所使用的詞語“如果”可以被解釋成為“在……時(shí)”或“當(dāng)……時(shí)”或“響應(yīng)于確定”。本發(fā)明實(shí)施例提出一種風(fēng)險(xiǎn)量化方法，應(yīng)用于管理平臺(tái)設(shè)備，該方法通過獲取資產(chǎn)的攻擊權(quán)重值、漏洞權(quán)重值以及價(jià)值權(quán)重值得到資產(chǎn)的風(fēng)險(xiǎn)評分，再將資產(chǎn)的風(fēng)險(xiǎn)評分映射為資產(chǎn)的風(fēng)險(xiǎn)級別進(jìn)行顯示。參見圖1，為本發(fā)明風(fēng)險(xiǎn)量化方法的一個(gè)實(shí)施例流程圖，該實(shí)施例對風(fēng)險(xiǎn)量化過程進(jìn)行描述。步驟101，接收風(fēng)險(xiǎn)顯示請求。管理人員通過管理界面下發(fā)風(fēng)險(xiǎn)顯示請求，該風(fēng)險(xiǎn)顯示請求中攜帶風(fēng)險(xiǎn)量化類型。本發(fā)明涉及到的風(fēng)險(xiǎn)量化類型包括：單資產(chǎn)風(fēng)險(xiǎn)量化、業(yè)務(wù)風(fēng)險(xiǎn)量化、全網(wǎng)風(fēng)險(xiǎn)量化。下文中會(huì)逐一描述，暫不贅述。步驟102，當(dāng)所述風(fēng)險(xiǎn)量化類型為單資產(chǎn)風(fēng)險(xiǎn)量化時(shí)，獲取單個(gè)資產(chǎn)的風(fēng)險(xiǎn)權(quán)重信息。單資產(chǎn)風(fēng)險(xiǎn)量化，顧名思義，就是對單個(gè)資產(chǎn)進(jìn)行風(fēng)險(xiǎn)量化，這里的資產(chǎn)可以理解為一臺(tái)網(wǎng)絡(luò)設(shè)備，例如，服務(wù)器、交換機(jī)、路由器等。本步驟中獲取的風(fēng)險(xiǎn)權(quán)重信息包括：攻擊權(quán)重值、漏洞權(quán)重值、價(jià)值權(quán)重值。下面對這幾個(gè)權(quán)重值進(jìn)行描述：攻擊權(quán)重值：由攻擊事件權(quán)重值和攻擊事件級別權(quán)重值確定。攻擊事件權(quán)重值為針對資產(chǎn)在第一時(shí)間段內(nèi)所承受的攻擊事件的個(gè)數(shù)確定的權(quán)重值，具體的，是根據(jù)預(yù)設(shè)的攻擊事件個(gè)數(shù)與攻擊事件權(quán)重值的對應(yīng)關(guān)系列表，以及第一時(shí)間段內(nèi)所接收的攻擊事件的個(gè)數(shù)共同確定攻擊時(shí)間權(quán)重值。其中，第一時(shí)間段為預(yù)設(shè)的距離接收風(fēng)險(xiǎn)顯示請求之前的一段時(shí)間，例如，距離接收風(fēng)險(xiǎn)顯示請求之前的5分鐘內(nèi)。舉例說明，一種可選的實(shí)施方式中，管理平臺(tái)設(shè)備預(yù)設(shè)的攻擊事件個(gè)數(shù)(以5分鐘為單位統(tǒng)計(jì))與攻擊事件權(quán)重值的對應(yīng)關(guān)系如表1所示。攻擊事件個(gè)數(shù)攻擊事件權(quán)重值1～10111～20221～30331～404>405表1當(dāng)管理平臺(tái)設(shè)備接收到針對單個(gè)資產(chǎn)的風(fēng)險(xiǎn)顯示請求時(shí)，統(tǒng)計(jì)接收風(fēng)險(xiǎn)顯示請求之前的5分鐘內(nèi)，單個(gè)資產(chǎn)承受的攻擊事件的個(gè)數(shù)(網(wǎng)絡(luò)中的安全設(shè)備，例如，防火墻，會(huì)不斷向管理平臺(tái)設(shè)備上報(bào)檢測到的攻擊事件)。例如，某資產(chǎn)5分鐘內(nèi)承受的攻擊事件個(gè)數(shù)為5個(gè)，查詢表1可知，該資產(chǎn)的攻擊事件權(quán)重值為1。由表1可知，攻擊事件權(quán)重值越大，說明資產(chǎn)受攻擊越頻繁，相應(yīng)風(fēng)險(xiǎn)也越大。攻擊事件級別權(quán)重值為針對資產(chǎn)在第二時(shí)間段內(nèi)所承受的攻擊事件的最高攻擊級別確定的權(quán)重值，具體的，是根據(jù)預(yù)設(shè)的攻擊級別與攻擊事件級別權(quán)重值的對應(yīng)關(guān)系表，以及第二時(shí)間段內(nèi)接收的攻擊事件的個(gè)數(shù)共同確定攻擊事件級別權(quán)重值。其中，第二時(shí)間段為預(yù)設(shè)的距離接收風(fēng)險(xiǎn)顯示請求之前的一段時(shí)間。該第二時(shí)間段與前述第一時(shí)間段可以相同，也可以不同。攻擊級別攻擊事件級別權(quán)重值1～516～10211～15316～20421～255表2舉例說明，預(yù)設(shè)第二時(shí)間段為距離接收風(fēng)險(xiǎn)顯示請求之前的5分鐘，管理平臺(tái)設(shè)備查看這5分鐘內(nèi)安全設(shè)備上報(bào)的攻擊事件的攻擊級別，假設(shè)安全設(shè)備定義的攻擊級別范圍為1～25，管理平臺(tái)設(shè)備預(yù)先設(shè)定攻擊級別與攻擊事件級別權(quán)重值的對應(yīng)關(guān)系，如表2所示。假設(shè)，管理平臺(tái)設(shè)備在距離接收風(fēng)險(xiǎn)顯示請求之前的5分鐘內(nèi)，接收到針對某資產(chǎn)的5個(gè)攻擊事件，攻擊事件的攻擊級別分別為5、10、15、20、25，最高攻擊級別為25，則根據(jù)最高攻擊級別25查表2，確定當(dāng)前資產(chǎn)的攻擊事件級別權(quán)重值為5。由表2可知，攻擊事件級別權(quán)重值越大代表資產(chǎn)承受的單次攻擊越嚴(yán)重，相應(yīng)風(fēng)險(xiǎn)也越大。在確定了資產(chǎn)的攻擊事件權(quán)重值和攻擊事件級別權(quán)重值后，計(jì)算資產(chǎn)的攻擊權(quán)重值。作為一個(gè)實(shí)施例，可首先求取攻擊事件權(quán)重值與攻擊事件級別權(quán)重值的乘積，然后對乘積結(jié)果取平方根，得到攻擊權(quán)重值，具體可通過公式(1)表示。其中，G為攻擊權(quán)重值，G1為攻擊事件權(quán)重值，G2為攻擊事件級別權(quán)重值。進(jìn)一步的，確定漏洞權(quán)重值。其中，漏洞權(quán)重值為針對資產(chǎn)的最后一次(即最新的)漏洞掃描得到的漏洞的最高漏洞級別確定的權(quán)重值。網(wǎng)絡(luò)中的漏洞掃描設(shè)備定期對資產(chǎn)進(jìn)行漏洞掃描，并將掃描結(jié)果上報(bào)給管理平臺(tái)設(shè)備，該掃描結(jié)果包括漏洞類型、漏洞級別等。假設(shè)漏洞掃描設(shè)備定義的漏洞級別范圍為1～20，管理平臺(tái)設(shè)備根據(jù)預(yù)先設(shè)定漏洞級別與漏洞權(quán)重值的對應(yīng)關(guān)系可以確定漏洞對應(yīng)的權(quán)重值，具體的，漏洞級別與漏洞權(quán)重值的對應(yīng)關(guān)系如表3所示。漏洞級別漏洞權(quán)重值1～415～829～12313～16417～205表3假設(shè)，管理平臺(tái)設(shè)備根據(jù)接收風(fēng)險(xiǎn)顯示請求前最后一次的漏洞掃描結(jié)果，確定當(dāng)前資產(chǎn)存在4個(gè)漏洞，漏洞級別分別為4、8、12、16，則根據(jù)最高漏洞級別16查表3，確定當(dāng)前資產(chǎn)的漏洞權(quán)重值為4。由表3可知，漏洞權(quán)重值越大，代表資產(chǎn)存在的風(fēng)險(xiǎn)越高。價(jià)值權(quán)重值：針對資產(chǎn)重要程度預(yù)設(shè)的權(quán)重值。具體的，是根據(jù)預(yù)設(shè)的資產(chǎn)標(biāo)識與資產(chǎn)重要程度的對應(yīng)關(guān)系列表確定價(jià)值權(quán)重值。舉例來說，該預(yù)設(shè)的對應(yīng)關(guān)系列表中，根據(jù)資產(chǎn)重要程度劃分價(jià)值權(quán)重取值范圍為1～5，數(shù)值越大代表越重要。需要說明的是，上述實(shí)施例中的權(quán)重取值范圍以及掃描漏洞、攻擊所提到的“5分鐘”均為一種示例性的說明，而不應(yīng)當(dāng)以此為限制，掃描漏洞、攻擊的頻率(周期)可以根據(jù)實(shí)際需要預(yù)先設(shè)置。步驟103，根據(jù)資產(chǎn)的風(fēng)險(xiǎn)權(quán)重信息得到資產(chǎn)的風(fēng)險(xiǎn)評分。在獲取到資產(chǎn)的攻擊權(quán)重值、漏洞權(quán)重值以及價(jià)值權(quán)重值后，計(jì)算資產(chǎn)的風(fēng)險(xiǎn)評分。其中，獲取攻擊權(quán)重值、漏洞權(quán)重值以及價(jià)值權(quán)重值的順序并不加以限定。作為一個(gè)實(shí)施例，可根據(jù)攻擊權(quán)重值與價(jià)值權(quán)重值的乘積確定資產(chǎn)的攻擊風(fēng)險(xiǎn)第一值，進(jìn)一步的，根據(jù)漏洞權(quán)重值與價(jià)值權(quán)重值的乘積確定資產(chǎn)漏洞風(fēng)險(xiǎn)的第二值，根據(jù)攻擊風(fēng)險(xiǎn)第一值和漏洞風(fēng)險(xiǎn)的第二值確定單個(gè)資產(chǎn)的風(fēng)險(xiǎn)評分。具體可通過公式(2)表示。Fz＝G×J+L×J公式(2)其中，F(xiàn)z為資產(chǎn)的風(fēng)險(xiǎn)評分，G為資產(chǎn)的攻擊權(quán)重值，J為資產(chǎn)的價(jià)值權(quán)重值，L為資產(chǎn)的漏洞權(quán)重值。步驟104，將資產(chǎn)的風(fēng)險(xiǎn)評分映射為資產(chǎn)的風(fēng)險(xiǎn)級別，以用于資產(chǎn)風(fēng)險(xiǎn)顯示。參見表4，為管理平臺(tái)設(shè)備預(yù)設(shè)的風(fēng)險(xiǎn)評分與風(fēng)險(xiǎn)級別的映射關(guān)系示例。風(fēng)險(xiǎn)評分風(fēng)險(xiǎn)級別1～10111～20221～30331～40441～505表4表4所示風(fēng)險(xiǎn)級別從1到5，數(shù)值越大，代表風(fēng)險(xiǎn)越高。本發(fā)明將映射后的風(fēng)險(xiǎn)級別通過顯示界面顯示，直觀體現(xiàn)單資產(chǎn)的風(fēng)險(xiǎn)情況。至此，完成對單資產(chǎn)風(fēng)險(xiǎn)顯示請求的響應(yīng)。管理者通過觀察顯示界面上單資產(chǎn)的風(fēng)險(xiǎn)級別，確定資產(chǎn)的風(fēng)險(xiǎn)情況，從而針對高風(fēng)險(xiǎn)資產(chǎn)采取應(yīng)對措施，及時(shí)降低資產(chǎn)風(fēng)險(xiǎn)。當(dāng)管理平臺(tái)設(shè)備接收到的風(fēng)險(xiǎn)顯示請求中攜帶的風(fēng)險(xiǎn)量化類型為全網(wǎng)風(fēng)險(xiǎn)量化時(shí)，獲取全網(wǎng)中風(fēng)險(xiǎn)評分最高的資產(chǎn)的風(fēng)險(xiǎn)評分、全網(wǎng)中各風(fēng)險(xiǎn)級別的資產(chǎn)數(shù)量、以及全網(wǎng)中各風(fēng)險(xiǎn)級別的矩陣值，得到全網(wǎng)的風(fēng)險(xiǎn)評分，再將全網(wǎng)的風(fēng)險(xiǎn)評分映射為全網(wǎng)的風(fēng)險(xiǎn)級別，以用于全網(wǎng)風(fēng)險(xiǎn)顯示。作為一個(gè)實(shí)施例，可分別獲取每一個(gè)風(fēng)險(xiǎn)級別下資產(chǎn)數(shù)量與矩陣值的乘積，獲取所有風(fēng)險(xiǎn)級別的乘積的和作為全網(wǎng)風(fēng)險(xiǎn)的基礎(chǔ)評分。由于資產(chǎn)風(fēng)險(xiǎn)評分最高的單個(gè)資產(chǎn)更加能體現(xiàn)全網(wǎng)風(fēng)險(xiǎn)，因而，進(jìn)一步的，根據(jù)全網(wǎng)風(fēng)險(xiǎn)的基礎(chǔ)評分與全網(wǎng)中風(fēng)險(xiǎn)評分最高的資產(chǎn)的風(fēng)險(xiǎn)評分累加，確定最終的全網(wǎng)的風(fēng)險(xiǎn)評分，具體可通過公式(3)表示。Fq為全網(wǎng)的風(fēng)險(xiǎn)評分，F(xiàn)zmax為全網(wǎng)中風(fēng)險(xiǎn)評分最高的資產(chǎn)的風(fēng)險(xiǎn)評分，i為資產(chǎn)的風(fēng)險(xiǎn)級別，p為最高風(fēng)險(xiǎn)級別，Mi為風(fēng)險(xiǎn)級別為i的矩陣值，Ni為風(fēng)險(xiǎn)級別為i的資產(chǎn)的數(shù)量。其中，風(fēng)險(xiǎn)級別的矩陣值是根據(jù)風(fēng)險(xiǎn)級別的資產(chǎn)占比、以及預(yù)設(shè)的風(fēng)險(xiǎn)級別和風(fēng)險(xiǎn)級別的資產(chǎn)占比之間的對應(yīng)關(guān)系確定的，風(fēng)險(xiǎn)級別的資產(chǎn)占比為對應(yīng)風(fēng)險(xiǎn)級別的資產(chǎn)數(shù)量占總資產(chǎn)數(shù)量的比率。參見表5，為風(fēng)險(xiǎn)級別矩陣值示例。表5舉例說明，假設(shè)全網(wǎng)總資產(chǎn)數(shù)量為100臺(tái)，其中，風(fēng)險(xiǎn)級別為5的資產(chǎn)有50臺(tái)，則風(fēng)險(xiǎn)級別為5的資產(chǎn)占全網(wǎng)總資產(chǎn)數(shù)量的50％，查表5，資產(chǎn)占比位于30％～54％之間，風(fēng)險(xiǎn)級別為5，則取矩陣值0.55。從上述描述可以看出，本發(fā)明的全網(wǎng)風(fēng)險(xiǎn)評分將全網(wǎng)中風(fēng)險(xiǎn)評分最高的資產(chǎn)的風(fēng)險(xiǎn)評分作為基礎(chǔ)評分，突出全網(wǎng)風(fēng)險(xiǎn)最高的一點(diǎn)，同時(shí)，結(jié)合各風(fēng)險(xiǎn)級別的資產(chǎn)分布，給出一個(gè)全網(wǎng)的綜合風(fēng)險(xiǎn)評分。在得到全網(wǎng)的風(fēng)險(xiǎn)評分后，將全網(wǎng)風(fēng)險(xiǎn)評分映射為全網(wǎng)風(fēng)險(xiǎn)級別，映射方法同單資產(chǎn)的風(fēng)險(xiǎn)級別映射方法，在此不再贅述。將映射后的全網(wǎng)的風(fēng)險(xiǎn)級別通過顯示界面顯示，直觀體現(xiàn)全網(wǎng)的風(fēng)險(xiǎn)情況。至此，完成對全網(wǎng)風(fēng)險(xiǎn)顯示請求的響應(yīng)。管理者通過觀察顯示界面上全網(wǎng)的風(fēng)險(xiǎn)級別，可確定整個(gè)網(wǎng)絡(luò)的風(fēng)險(xiǎn)情況。當(dāng)管理平臺(tái)設(shè)備接收到的風(fēng)險(xiǎn)顯示請求中攜帶的風(fēng)險(xiǎn)量化類型為業(yè)務(wù)風(fēng)險(xiǎn)量化時(shí)，首先確定業(yè)務(wù)所涉及的資產(chǎn)，具體的，根據(jù)預(yù)先設(shè)置的業(yè)務(wù)與資產(chǎn)標(biāo)識之間的對應(yīng)關(guān)系，確定業(yè)務(wù)所涉及的資產(chǎn)。以市場營銷平臺(tái)業(yè)務(wù)為例，該市場營銷平臺(tái)業(yè)務(wù)所涉及資產(chǎn)包括：3臺(tái)服務(wù)器、1臺(tái)交換機(jī)；獲取業(yè)務(wù)中風(fēng)險(xiǎn)評分最高的資產(chǎn)的風(fēng)險(xiǎn)評分、業(yè)務(wù)中各風(fēng)險(xiǎn)級別的資產(chǎn)數(shù)量、以及業(yè)務(wù)中各風(fēng)險(xiǎn)級別的矩陣值，得到業(yè)務(wù)的風(fēng)險(xiǎn)評分；將業(yè)務(wù)的風(fēng)險(xiǎn)評分映射為業(yè)務(wù)的風(fēng)險(xiǎn)級別，以用于業(yè)務(wù)風(fēng)險(xiǎn)顯示。管理者通過觀察顯示界面上的業(yè)務(wù)風(fēng)險(xiǎn)級別，可確定業(yè)務(wù)的風(fēng)險(xiǎn)情況。從上述描述可以看出，針對業(yè)務(wù)的風(fēng)險(xiǎn)量化方式與全網(wǎng)的風(fēng)險(xiǎn)量化方式相同，區(qū)別僅在于業(yè)務(wù)所涉及的資產(chǎn)數(shù)量較少，在此不再贅述。現(xiàn)舉一個(gè)具體實(shí)施例詳細(xì)介紹風(fēng)險(xiǎn)量化過程。假設(shè)，全網(wǎng)有10個(gè)資產(chǎn)，資產(chǎn)1～資產(chǎn)10，其中，財(cái)務(wù)業(yè)務(wù)涉及資產(chǎn)1～資產(chǎn)3。當(dāng)接收到單資產(chǎn)的風(fēng)險(xiǎn)顯示請求時(shí)，計(jì)算每一個(gè)資產(chǎn)的風(fēng)險(xiǎn)級別。以資產(chǎn)1為例，假設(shè)，在接收風(fēng)險(xiǎn)顯示請求之前的5分鐘內(nèi)，資產(chǎn)1所承受攻擊事件個(gè)數(shù)為15個(gè)，查詢表1，對應(yīng)攻擊事件權(quán)重值為2，在這5分鐘內(nèi)所承受的攻擊事件的最高攻擊級別為8，查詢表2，對應(yīng)攻擊事件級別權(quán)重值為2，計(jì)算資產(chǎn)1的假設(shè)，從資產(chǎn)1的最后一次漏洞掃描中，確定的最高漏洞級別為3，查詢表3，對應(yīng)漏洞權(quán)重值為1；若資產(chǎn)1預(yù)設(shè)的價(jià)值權(quán)重值為5，則根據(jù)公式(2)確定資產(chǎn)1的風(fēng)險(xiǎn)評分為＝2×5+1×5＝15，查詢表4，對應(yīng)風(fēng)險(xiǎn)級別為2。同理，計(jì)算資產(chǎn)2～資產(chǎn)10的風(fēng)險(xiǎn)評分和風(fēng)險(xiǎn)級別，計(jì)算結(jié)果參見表6(需要說明的是，表6僅是示例性的給出，并沒有給出詳細(xì)的計(jì)算過程，具體的資產(chǎn)2-資產(chǎn)10的漏洞權(quán)重以及攻擊權(quán)重可以根據(jù)預(yù)先設(shè)置的漏洞級別與漏洞權(quán)重值的對應(yīng)關(guān)系表、攻擊級別與攻擊事件級別權(quán)重值的對應(yīng)關(guān)系列表等進(jìn)行確定，在此不再贅述)。資產(chǎn)風(fēng)險(xiǎn)評分風(fēng)險(xiǎn)級別資產(chǎn)1152資產(chǎn)251資產(chǎn)371資產(chǎn)4182資產(chǎn)5334資產(chǎn)681資產(chǎn)761資產(chǎn)8162資產(chǎn)941資產(chǎn)1091表6將每一個(gè)資產(chǎn)的風(fēng)險(xiǎn)級別在顯示界面上進(jìn)行顯示，使管理者可以直觀的看到每一個(gè)資產(chǎn)的風(fēng)險(xiǎn)情況。從表6可知，資產(chǎn)5是當(dāng)前風(fēng)險(xiǎn)最高的資產(chǎn)。當(dāng)接收到針對全網(wǎng)的風(fēng)險(xiǎn)顯示請求時(shí)，獲取全網(wǎng)中風(fēng)險(xiǎn)評分最高的資產(chǎn)的風(fēng)險(xiǎn)評分，由表6可知，資產(chǎn)5為全網(wǎng)風(fēng)險(xiǎn)評分最高的資產(chǎn)，資產(chǎn)5的風(fēng)險(xiǎn)評分為33；獲取全網(wǎng)中各風(fēng)險(xiǎn)級別的資產(chǎn)數(shù)量以及各風(fēng)險(xiǎn)級別的矩陣值，其中，風(fēng)險(xiǎn)級別為1的資產(chǎn)數(shù)量為6個(gè)，占總資產(chǎn)數(shù)量(10個(gè))的60％，查詢表5，對應(yīng)矩陣值為0.2；風(fēng)險(xiǎn)級別為2的資產(chǎn)數(shù)量為3個(gè)，占總資產(chǎn)數(shù)量的10％，對應(yīng)矩陣值為0.2；風(fēng)險(xiǎn)級別為4的資產(chǎn)數(shù)量為1個(gè)，占總資產(chǎn)數(shù)量的20％，對應(yīng)矩陣值為0.35，則全網(wǎng)風(fēng)險(xiǎn)評分＝33+0.2×6+0.2×3+0.35×1＝35.15，若仍采用表4的風(fēng)險(xiǎn)級別映射關(guān)系，則全網(wǎng)的風(fēng)險(xiǎn)級別為4。將全網(wǎng)的風(fēng)險(xiǎn)級別在顯示界面上顯示，使管理者可以直觀的看到全網(wǎng)的風(fēng)險(xiǎn)情況。當(dāng)接收到針對財(cái)務(wù)業(yè)務(wù)的風(fēng)險(xiǎn)顯示請求時(shí)，確定財(cái)務(wù)業(yè)務(wù)所涉及資產(chǎn)，包括資產(chǎn)1～資產(chǎn)3，其中，風(fēng)險(xiǎn)評分最高的資產(chǎn)為資產(chǎn)1，資產(chǎn)1的風(fēng)險(xiǎn)評分為15，業(yè)務(wù)中風(fēng)險(xiǎn)級別為1的資產(chǎn)數(shù)量為2個(gè)，約占業(yè)務(wù)總資產(chǎn)數(shù)量(3個(gè))的67％，查詢表5，對應(yīng)矩陣值為0.2；風(fēng)險(xiǎn)級別為2的資產(chǎn)數(shù)量為1個(gè)，約占業(yè)務(wù)總資產(chǎn)數(shù)量的33％，對應(yīng)矩陣值為0.2，則業(yè)務(wù)風(fēng)險(xiǎn)評分＝15+0.2×2+0.2×1＝15.6，查詢表4的風(fēng)險(xiǎn)級別映射關(guān)系，則財(cái)務(wù)業(yè)務(wù)的風(fēng)險(xiǎn)級別為2。將財(cái)務(wù)業(yè)務(wù)的風(fēng)險(xiǎn)級別在顯示界面上顯示，使管理者可以直觀的看到財(cái)務(wù)業(yè)務(wù)的風(fēng)險(xiǎn)情況。與前述風(fēng)險(xiǎn)量化方法的實(shí)施例相對應(yīng)，本發(fā)明還提供了風(fēng)險(xiǎn)量化裝置的實(shí)施例。本發(fā)明風(fēng)險(xiǎn)量化裝置的實(shí)施例可以應(yīng)用在管理平臺(tái)設(shè)備上。裝置實(shí)施例可以通過軟件實(shí)現(xiàn)，也可以通過硬件或者軟硬件結(jié)合的方式實(shí)現(xiàn)。以軟件實(shí)現(xiàn)為例，作為一個(gè)邏輯意義上的裝置，是通過其所在設(shè)備的處理器運(yùn)行存儲(chǔ)器中對應(yīng)的計(jì)算機(jī)程序指令形成的。從硬件層面而言，如圖2所示，為本發(fā)明風(fēng)險(xiǎn)量化裝置所在設(shè)備的一種硬件結(jié)構(gòu)圖，除了圖2所示的處理器以及非易失性存儲(chǔ)器之外，實(shí)施例中裝置所在的設(shè)備通常根據(jù)該設(shè)備的實(shí)際功能，還可以包括其他硬件，對此不再贅述。請參考圖3，為本發(fā)明一個(gè)實(shí)施例中的風(fēng)險(xiǎn)量化裝置的結(jié)構(gòu)示意圖。該風(fēng)險(xiǎn)量化裝置包括接收單元301、獲取單元302、處理單元303以及映射單元304，其中：接收單元301，用于接收風(fēng)險(xiǎn)顯示請求，所述風(fēng)險(xiǎn)顯示請求攜帶風(fēng)險(xiǎn)量化類型；獲取單元302，用于當(dāng)所述風(fēng)險(xiǎn)量化類型為單資產(chǎn)風(fēng)險(xiǎn)量化時(shí)，獲取單個(gè)資產(chǎn)的風(fēng)險(xiǎn)權(quán)重信息，所述風(fēng)險(xiǎn)權(quán)重信息包括攻擊權(quán)重值、漏洞權(quán)重值以及價(jià)值權(quán)重值；處理單元303，用于根據(jù)資產(chǎn)的風(fēng)險(xiǎn)權(quán)重信息得到資產(chǎn)的風(fēng)險(xiǎn)評分；映射單元304，用于將資產(chǎn)的風(fēng)險(xiǎn)評分映射為資產(chǎn)的風(fēng)險(xiǎn)級別，以用于資產(chǎn)風(fēng)險(xiǎn)顯示。進(jìn)一步地，所述攻擊權(quán)重值由攻擊事件權(quán)重值和攻擊事件級別權(quán)重值確定，其中，所述攻擊事件權(quán)重值為針對資產(chǎn)在第一時(shí)間段內(nèi)所承受的攻擊事件的個(gè)數(shù)確定的權(quán)重值；所述攻擊事件級別權(quán)重值為針對資產(chǎn)在第二時(shí)間段內(nèi)所承受的攻擊事件的最高攻擊級別確定的權(quán)重值；所述第一時(shí)間段和所述第二時(shí)間段均為預(yù)設(shè)的距離接收所述風(fēng)險(xiǎn)顯示請求之前的一段時(shí)間；所述漏洞權(quán)重值為針對資產(chǎn)的最后一次漏洞掃描得到的漏洞的最高漏洞級別確定的權(quán)重值；所述價(jià)值權(quán)重值為針對資產(chǎn)重要程度預(yù)設(shè)的權(quán)重值。進(jìn)一步地，所述裝置還包括：確定單元(圖中未示出)，用于當(dāng)所述風(fēng)險(xiǎn)量化類型為業(yè)務(wù)風(fēng)險(xiǎn)量化時(shí)，確定業(yè)務(wù)所涉及的資產(chǎn)；所述處理單元303，與確定單元連接，還用于獲取業(yè)務(wù)中風(fēng)險(xiǎn)評分最高的資產(chǎn)的風(fēng)險(xiǎn)評分、業(yè)務(wù)中各風(fēng)險(xiǎn)級別的資產(chǎn)數(shù)量、以及業(yè)務(wù)中各風(fēng)險(xiǎn)級別的矩陣值，得到業(yè)務(wù)的風(fēng)險(xiǎn)評分；所述映射單元304，還用于將業(yè)務(wù)的風(fēng)險(xiǎn)評分映射為業(yè)務(wù)的風(fēng)險(xiǎn)級別，以用于業(yè)務(wù)風(fēng)險(xiǎn)顯示。進(jìn)一步地，所述處理單元303，還用于當(dāng)所述風(fēng)險(xiǎn)量化類型為全網(wǎng)風(fēng)險(xiǎn)量化時(shí)，獲取全網(wǎng)中風(fēng)險(xiǎn)評分最高的資產(chǎn)的風(fēng)險(xiǎn)評分、全網(wǎng)中各風(fēng)險(xiǎn)級別的資產(chǎn)數(shù)量、以及全網(wǎng)中各風(fēng)險(xiǎn)級別的矩陣值，得到全網(wǎng)的風(fēng)險(xiǎn)評分；所述映射單元304，還用于將全網(wǎng)的風(fēng)險(xiǎn)評分映射為全網(wǎng)的風(fēng)險(xiǎn)級別，以用于全網(wǎng)風(fēng)險(xiǎn)顯示。進(jìn)一步地，所述風(fēng)險(xiǎn)級別的矩陣值是根據(jù)風(fēng)險(xiǎn)級別的資產(chǎn)占比、以及預(yù)設(shè)的風(fēng)險(xiǎn)級別與風(fēng)險(xiǎn)級別的資產(chǎn)占比之間的對應(yīng)關(guān)系確定的，所述風(fēng)險(xiǎn)級別的資產(chǎn)占比為對應(yīng)風(fēng)險(xiǎn)級別的資產(chǎn)數(shù)量占總資產(chǎn)數(shù)量的比率。上述裝置中各個(gè)單元的功能和作用的實(shí)現(xiàn)過程具體詳見上述方法中對應(yīng)步驟的實(shí)現(xiàn)過程，在此不再贅述。對于裝置實(shí)施例而言，由于其基本對應(yīng)于方法實(shí)施例，所以相關(guān)之處參見方法實(shí)施例的部分說明即可。以上所描述的裝置實(shí)施例僅僅是示意性的，其中所述作為分離部件說明的單元可以是或者也可以不是物理上分開的，作為單元顯示的部件可以是或者也可以不是物理單元，即可以位于一個(gè)地方，或者也可以分布到多個(gè)網(wǎng)絡(luò)單元上。可以根據(jù)實(shí)際的需要選擇其中的部分或者全部模塊來實(shí)現(xiàn)本發(fā)明方案的目的。本領(lǐng)域普通技術(shù)人員在不付出創(chuàng)造性勞動(dòng)的情況下，即可以理解并實(shí)施。以上所述僅為本發(fā)明的較佳實(shí)施例而已，并不用以限制本發(fā)明，凡在本發(fā)明的精神和原則之內(nèi)，所做的任何修改、等同替換、改進(jìn)等，均應(yīng)包含在本發(fā)明保護(hù)的范圍之內(nèi)。當(dāng)前第1頁1 2 3